Analyse Peter Wemmenhove: ‘Nieuwe regelgeving leidt tot extra softwarebehoefte’

In navolging van de Sarbanes-Oxley Act (die inmiddels in de VS alweer is verbasterd tot SOX) en als reactie op de Europese boekhoudschandalen zijn ook binnen Europa initiatieven genomen om de transparantie, de interne controle en beheersing binnen bedrijven te verbeteren.

Een voorbeeld hiervan is de commissie-Tabaksblat. De in dit artikel genoemde tools kunnen eveneens hieraan ten dienste staan. Al deze initiatieven hebben één ding gemeen: het terugwinnen van het vertrouwen in het bedrijfsleven en de door bedrijven gepresenteerde cijfers bij aandeelhouders en andere deelnemers aan het maatschappelijke verkeer (politiek, werknemers, vakbonden).

Op dit moment zijn er meer dan zestig instrumenten op de markt beschikbaar die bedrijven kunnen helpen bij het SOX-proof maken van de organisatie. Deze producten variëren van stand-alone-oplossingen voor specifieke vereisten (zoals Whistle Blower van SAP) tot geïntegreerde bedrijfsbrede oplossingen voor risicomanagement. Bovendien komt er iedere week wel een nieuwe tool bij.

Het is niet verwonderlijk dat het voor organisaties lastig is hieruit een keuze te maken. In dit artikel proberen we in het woud van tools enige helderheid te scheppen.

Waarom is een tool handig?
Zeker in een middelgrote internationale onderneming is het voor het hoofdkantoor erg moeilijk om zonder tools te toetsen of alle operating units voldoen aan het ‘corporate internal control framework’.

Daarnaast is het vrijwel ondoenlijk om helder te krijgen of operating units de werking van de interne controle gedegen getest hebben en of ze het resultaat ook nog grondig gedocumenteerd hebben opgeslagen.

Stel dat het verkeerd gaat, bijvoorbeeld door een fout in de omzetboeking (intern is als extern gerapporteerd), dan moet de CFO, CEO, CIO of CTO zich verantwoorden tegenover de SEC.

Hoe kan een corporate officer dan aantonen dat hij alles heeft gedaan om te zorgen dat de operating companies precies wisten wat ze moesten doen en dat hij hierop ook zelf heeft toegezien? Zonder instrumenten is er meteen al een achterstand.

Dat is een probleem wanneer een bedrijf wordt geconfronteerd met een SEC-auditor of een Amerikaanse jurist die verhaal komt halen voor de gedupeerde aandeelhouders.

Daarnaast moet niet vergeten worden dat na de ‘walk through test’ van het management ook de externe auditor nog een toetsing moet verrichten. Als de externe auditor niet kan starten met het beoordelen van procesbeschrijvingen, een eventuele risicoanalyse en hiermee corresponderende maatregelen op het gebied van interne controle, kost zo’n beoordeling hem niet alleen veel tijd, maar ook veel geld.

ICT-instrumenten
Voor de helderheid zijn relevante ICT-instrumenten hieronder in een aantal groepen verdeeld.

Beveiliging
Beveiligingsoplossingen hebben betrekking op het gebruik van encryptie, firewalls, uitwijkplannen, backup- en recoveryplannen en -procedures et cetera. Deze oplossingen kunnen, mits gedetailleerd ingericht en gebruikt, uw gegevens veilig
stellen en – als er iets mee gebeurt – zorgen dat ze snel te traceren zijn. Voorbeelden van leveranciers van beveiligingsinstrumenten zijn Computer Associates, Novell, IBM, Netegrity, BMC, Courion.

Document- en recordsmanagement
SOX schrijft voor dat alle communicatie, inclusief e-mailberichten over financiële processen, wordt bewaard. Oplossingen voor ‘document- en records/contentmanagement’ kunnen dit vergemakkelijken.

Gebruikers kunnen gedetailleerde zoekopdrachten binnen verschillende documenttypen (e-mail, brieven, memo’s, flowcharts en dergelijke) laten uitvoeren om zo gegevens en data te ontsluiten.

Ook kan in brieven, presentaties, web-meetings, in- en externe e-mail op specifieke trefwoorden – fraude, verkoop, aankoop, omzetdaling – worden gezocht.

Voorbeelden van leveranciers zijn Open Text, Documentum, Filenet, EMCCentera, Axs-One, Legato, Microsoft, iLumin Software.

Business-procesmanagement
Om medewerkers duidelijk te maken wat de taken en verantwoordelijkheden zijn, kan gebruik worden gemaakt van een analyse- en controletool voor het vastleggen van processen (visualisatie en beschrijving).

Procedures en formulieren met onder meer definities (één definitie van het begrip ‘omzet’ of ‘meerderheidsbelang’) kunnen eenvoudig ter beschikking worden gesteld aan alle betrokkenen in het bedrijf.

Om de organisatie hierbij te ondersteunen is een procesmanagementtool eigenlijk onmisbaar. Als de organisatie niet veel doet aan SOX is het verstandig om in ieder geval processen, risico’s en interne controlemaatregelen goed vast te leggen. Voorbeelden van leveranciers zijn BWise, Integrify, Handysoft, Mavim, MicroSoft, Protivity. Een aantal biedt kant-en-klare SOX-templates aan.

Corporate-performancemanagement (CPM) en business intelligence (BI)
SOX stelt eisen aan de snelheid waarmee aan de SEC gerapporteerd wordt. Dit is onder andere beschreven in Sectie 302 en 404.

Zo moet ‘Form10Qs’ binnen 45 dagen (nu 90 dagen) na het kwartaaleinde worden ingeleverd en ‘Form10Ks’ binnen 60 dagen (nu 120 dagen) na het jaareinde. Dit geldt ook voor de 20F-rapportage waar veel Nederlandse bedrijven mee te maken hebben.

Maar ook in Sectie 409, ‘Real Time Issue Disclosure’, worden eisen gesteld aan de snelheid waarmee aan de SEC wordt gerapporteerd. Het gaat hierbij om belangrijke events of issues, zoals brand in een fabriek, een staking, het verlies van een belangrijke klant et cetera.

Deze thema’s staan gedetailleerd beschreven. ‘Real time’ is gedefinieerd als ‘binnen 48 uur’. Binnen dit tijdsbestek moet de desbetreffende gebeurtenis gemeld worden aan de SEC.

Door deze eisen wordt het belang van concern of corporate inzicht in de bedrijfsresultaten of gebeurtenissen groot. Het bedrijf moet in staat zijn over alle
organisatieonderdelen heen te kijken om de impact te bepalen en eventueel te rapporteren.

Corporate- of enterprise-performancemanagement- of business-intelligenceoplossingen kunnen informatie (gestructureerde en ongestructureerde gegevens) vanuit verschillende systemen en organisaties verzamelen en snel analyseren.

Voorbeelden van leveranciers zijn Hyperion, SAS, GEAC, Cognos, Business Objects.

Real time compliancy tools
Een uitgebreidere variant op de BPM-tools zijn de real time compliancy tools. Deze zijn met name geschikt voor organisaties die wereldwijd één intern controlesysteem willen implementeren en onderhouden om van daaruit te rapporteren.

Alle informatie wordt dan vaak opgeslagen in één datawarehouse met daarin een overzicht van alle processen (referentie en toegestane afwijkingen daarbinnen), inclusief flow, processen en procedures, formulieren, de risico’s en controlemaatregelen. Inclusief de corporate richtlijnen voor testen (controleprogramma’s), documentatie (formats) en rapportage.

Gecombineerd met strakke tijdlijnen en geautomatiseerde waarschuwingen.
Als bijvoorbeeld een bedrijfsonderdeel een belangrijk proces niet heeft getest en/of gedocumenteerd, is het corporate management met deze tools in staat om snel bij te sturen en hiermee het compliancyproces goed te monitoren.

De lijst van deze specifiek voor SOX ontwikkelde oplossingen groeit nog iedere dag. Voorbeelden zijn BWise ICSo, Handysoft SOXA, Clarify, Microsoft, Paisley Risk Navigator, Protiviti, Sarbanes-Oxley Express, SOA Director, S-O Comply.

Oplossingen van de ‘Big 4’
Een speciale categorie aanbieders zijn de ‘Big 4’-accountantskantoren. De externe accountant heeft, zoals bekend, een belangrijkere rol gekregen bij het vaststellen van de juiste werking van de interne controle.

Ter ondersteuning van dit proces maakt hij in veel gevallen gebruik van een tool. Dit instrument kan ook ter beschikking worden gesteld van het bedrijf waar deze externe accountant werkzaam is.

De vraag of dit naar de geest of naar de letter van SOX is, is nog niet volledig beantwoord. Ook verrichten accountantskantoren werkzaamheden in het kader van S-O bij klanten waar ze geen extern accountant zijn. Hierbij maken ze veelal gebruik van hun eigen instrumenten. Deloitte, PwC, KPMG, Ernst & Young beschikkende over alle noodzakelijke tools om SOX te ondersteunen.

Oplossingen voor de opslag van data
Zoals aangegeven stelt Sectie 404 eisen aan het opslaan van documentatie op een ‘managed’ en gecontroleerde wijze. Het komt erop neer dat (belangrijke) documentatie die aan bepaalde voorwaarden voldoet, iedere keer op dezelfde manier opgeslagen wordt en eenvoudig ter beschikking kan worden gesteld aan belanghebbenden.

Een mogelijke oplossing is alle documentatie te digitaliseren volgens een corporate bewaar- en vernietigingsprotocol, om het geheel daarna centraal te beheren.

Voorbeelden van leveranciers zijn EMC, HP, Storage Tek, IBM.

Kernfactor
ICT is slechts een hulpmiddel ter ondersteuning van de interne controle en beheersing. Uit de eerste voorlopige conclusies van ‘schandalen’ (Enron, Parmalat, Ahold, Shell) blijkt niet dat een slecht gedocumenteerd proces of een ontoereikend ERP- of consolidatiesysteem de oorzaak is van foutieve
rapportages. De kernfactor bent u, want u bent als financieel manager het financiële geweten van de organisatie.

Het is niet voor niets dat senator Sarbanes heeft aangegeven dat de ‘real hurdle’ in zijn Act die overwonnen moet worden, bestaat in de noodzakelijke gedragsverandering van managers. Al die regels zijn er dus slechts om het management te stimuleren de juiste dingen te doen.

Drs. P. Wemmenhove RC is senior manager van de World Class Finance Unit van Atos KPMG Consulting. Hij is werkzaam op het vakgebied van IFRS en Sarbanes-Oxley, vaak in relatie met ICT. Daarnaast is hij coauteur van een boek over Sarbanes-Oxley.